4 GUIA PARA IMPLANTAÇÃO DE POSIC
4.5 Etapas da Implantação
Para que seja possível alcançar o sucesso de implantação da PoSIC nas IFES, é sugerido que todas as etapas sigam o ciclo contínuo de implantação, sendo executadas e acompanhadas por seus papéis (ver item 4.2), identificados ao final de cada prática das etapas de implantação.
98
4.5.1 Levantamento de Requisitos
Para a construção da PoSIC (diretrizes, normas e procedimentos) é sugerido realizar o levantamento dos ativos de maior criticidade, os quais a instituição acredita que devem ser relacionados e contemplados na PoSIC. É sugerido identificar o conjunto de regulamentos e normas que regem a instituição, no intuito de adquirir base legal para a construção do documento. Por isso, é necessário analisar o que existe e quais são as necessidades da instituição. Esse conjunto de regulamento existente será um orientador para o planejamento do projeto de implantação da política. O Quadro 4 apresenta todas as práticas e ações para implantação dessa etapa.
Quadro 4. Etapa de Levantamento de Requisitos da PoSIC.
ETAPA: 01
LEVANTAMENTO DE REQUISITOS DA PoSIC
Referência: [ABNT (2013); ANAND et al. (2011);BRASIL (2009); CASTILHO (2013); COELHO et al. (2014); ISACA (2012b); NASCIMENTO (2012); TUYIKEZE e POTTAS(2010)].
Objetivo: Obter informações acerca das ações de segurança da informação, já desenvolvidas na instituição, por
meio dos processos estratégicos, táticos e operacionais, visando gerar o Termo de Aceitação e Cumprimento da Alta Gestão.
Indicadores de Desempenho:
Identificação da área ou dos responsáveis pela PoSIC da instituição;
Apresentar relatório de segurança da informação pontuando as vulnerabilidades emergenciais às quais está submetida a instituição;
Aprovação da Alta Gestão para planejamento da PoSIC.
Recomendações e Fontes de Consulta: Reuniões com Chefe de Gabinete;
Reuniões com o Comitê de TI;
Entrevistas com a Diretoria de TI;
Pesquisa institucional acerca da segurança da informação;
Contato com IFES que já implantaram a PoSIC;
Leitura técnica da ISO/IEC 27002:2013;
Leitura técnica do COBIT 5 for Information Security;
Analisar Acórdão 1.603/08.
ID PRÁTICAS
LR1 - Verificar área responsável pela PoSIC
Ação:
Identificar se existe na instituição o setor, comitê ou grupo responsável pelo processo de implantação da PoSIC.
Descrição:
Sugere-se que a PoSIC seja planejada, desenvolvida e apresentada pelo Comitê de Segurança da Informação (CGSI). Esse Comitê deverá ser constituído por profissionais de diversas áreas (Pró-Reitorias, Diretorias, unidades acadêmicas e administrativas), principalmente pela área jurídica. Essas pessoas trazem consigo os requisitos de segurança dos setores e áreas em que elas trabalham.
99
Se a instituição ainda não tiver instituído o CGSI, verificar etapa 02- P.1, desse guia.
Papel:
- Comitê de Tecnologia da Informação.
LR2 - Identificar o Gestor de Segurança da Informação
Ações:
Verificar a existência do Gestor de Segurança da Informação que presidirá a equipe de elaboração da PoSIC; Solicitar ao Reitor, a nomeação desse cargo, se não existir tal função na instituição.
Descrição:
É necessário nomear o Gestor de Segurança da Informação ou a figura de um mentor que presidirá a equipe de implantação da PoSIC, devendo esse garantir que seu processo de implantação funcione de maneira organizada, seguindo as normas e os regulamentos, alinhando todas as ações com o Planejamento Estratégico Institucional.
De preferência, o Gestor de Segurança da Informação deverá ser um profissional da área de Ciência da Computação, ou afim, com desejáveis conhecimentos nos processos de segurança da informação, fundamentos em governança de TI e bom relacionamento humano.
Papel:
- Comitê de Tecnologia da Informação
LR3 - Verificar Legislação e Normativas
Ações:
Verificar junto ao RH as Normas e Decretos vigentes que regularizam a instituição; Consultar, junto a área jurídica, a Legislação à qual a instituição está amparada;
Solicitar, junto ao Gabinete, documentação diversa (organograma, estatuto, etc) que rege a instituição.
Descrição:
Todo órgão da Administração Pública Federal é submetido a várias Leis, Decretos, Regulamentações, Estatutos, Obrigações Contratuais, Normas, Organogramas, etc., que devem ser seguidos e atendidos sob o risco grave de penalidades no caso de não cumprimento. Assim, deve ser feito um levantamento de toda a legislação que rege a instituição para que a PoSIC não venha a atentar contra qualquer uma delas.
As instituições devem garantir proteção contra a violação de quaisquer leis criminais ou civis e requisitos de segurança da informação, objetivando a garantia de conformidade legal e da saúde institucional, asseguradas também pela PoSIC.
Papel:
- Comitê Gestor de Segurança da Informação.
LR4 - Verificar Padrões, Normas e Procedimentos
Ações:
Identificar os padrões que a instituição já utiliza como modelo para segurança dos ativos;
Verificar a utilização de alguma norma de controle, em segurança da informação, para os diversos procedimentos já executados na instituição;
Classificar possíveis frameworks que orientam sobre segurança da informação para elaboração da PoSIC.
Descrição:
O CGSI deverá manter-se atualizado a respeito dessa prática, pois permitirá a elaboração de código de práticas que atendam as diretrizes da instituição quanto à governança de TI existente. Essa prática permitirá o gerenciamento de serviços necessários para atender os diversos setores que demandem serviços de segurança da informação e os controles práticos de segurança nos mais diversos níveis de operacionalização concernentes a sistemas, recursos, hardware, processos e demais ativos contra desastres, erros (intencionais ou não) e manipulação não autorizada, objetivando a redução da
100
probabilidade e do impacto de incidentes de segurança.
É salutar que as instituições busquem e mantenham-se atualizadas quanto às normas e padrões de segurança da informação aplicáveis. No Brasil, a Associação Brasileira de Normas Técnicas (ABNT) estabelece normas a serem seguidas por produtos e serviços, inclusive aqueles relacionados à segurança da informação. Em nível Internacional, destacam-se na área, a ISO/IEC 27001:2131 e ISO/IEC 27002:2132,
COBIT 5 for Information Security3 e ITIL v34 (esses relacionados aos processos de segurança da informação).
Papel:
- Comitê Gestor de Segurança da Informação.
* 1, 2, 3, 4 - versões atuais no período de escrita desse guia.
LR5 - Realizar levantamento sobre Segurança da Informação
Ações:
Elaborar questionários para pesquisa de campo em todas as áreas da instituição;
Identificar o nível de conhecimento em segurança da informação dos servidores da instituição; Detectar os pontos de maior vulnerabilidade dentro da instituição;
Realizar entrevista com os Gestores dos diversos setores;
Consultar os relatórios de incidentes de segurança da informação dos últimos 6 meses, ou último ano; Gerar relatório com os resultados da atividade.
Descrição:
Convém examinar, por meio de pesquisa de campo (entrevistas, questionários, formulários, etc.) o comportamento e as ações desenvolvidas na instituição quanto à segurança da informação. Tal exame é sugerido para assegurar a continuidade do planejamento de implantação da PoSIC.
- Se o levantamento institucional identificar que práticas e procedimentos em segurança da informação dentro da instituição não são utilizados como ações estratégicas da administração e que não há nenhum tipo de elaboração adequada para proteção dos ativos de informação ou que não há nenhuma orientação estabelecida em segurança da informação, convém que seja apresentado, de imediato, o relatório de segurança da informação à Gestão Máxima (Reitor), pontuando as vulnerabilidades emergenciais às quais está submetida a instituição, juntamente com o pedido de implantação da PoSIC.
- Se o levantamento institucional apresentar um cenário com ações estratégicas já desenvolvidas dentro da instituição, porém não contiver o documento norteador com suas diretrizes, normas e procedimentos de segurança da informação, de igual forma deverá ser apresentado à Gestão Máxima (Reitor) a emergente necessidade de implantação da PoSIC da instituição.
Papel:
- Comitê Gestor de Segurança da Informação.
Papel abstrato: Servidores em geral - A realização do estudo de campo deverá ser feito com uma amostra aleatória envolvendo servidores das áreas pesquisadas.
LR6 - Analisar o Planejamento Estratégico Institucional - PEI
Ações:
Verificar e identificar os objetivos do Planejamento Estratégico Institucional para o desenvolvimento da PoSIC.
Descrição:
O PEI é o meio pelo qual a organização busca prever seu futuro e estabelecer os objetivos e metas a serem alcançados. É por meio do PEI que as instituições definem medidas para garantir seu crescimento de forma sustentável e tangível.
O CGSI deverá atentar-se para o PEI. É importante observar as estratégias e garantir que as atividades ali previstas estarão seguras ou que seus possíveis problemas sejam mitigados. A PoSIC deverá ser
101
contundente quanto ao alcance dos seus objetivos de segurança da informação, em caráter estratégico, de forma a obter a excelência nos serviços prestados ao cidadão.
Papel:
- Gestor de Segurança da Informação.
LR7 - Solicitar aprovação da Gestão Máxima
Ações:
Gerar documento com os resultados da prática LR5; Solicitar apreciação da Gestão Máxima;
Requerer assinatura de aprovação do Gestor Máximo para o Planejamento da PoSIC.
Descrição:
Todos os resultados alcançados na etapa de levantamento de informações da instituição precisam ser documentados e comunicados à administração em formato de relatórios. Essa ação irá fornecer o feedback necessário para que a Alta Gestão visualize o estágio de segurança da informação em que se encontra a instituição, bem como possibilitar que a mesma utilize de maneira correta e confiável os recursos que suportam as informações necessárias para todas as atividades estratégicas, táticas e operacionais. Do relatório apresentado ao Gestor Máximo deverá constar o conjunto ações identificadas na etapa 01 - LR6. A existência de um Termo de Aprovação possibilitará que as etapas posteriores de planejamento e desenvolvimento da Política possam ser visualizadas como de interesse da Gestão Máxima, tornando mais explícita a necessidade de colaboração e participação de todos os servidores da instituição.
Papel:
- Gestor Máximo da instituição.
Papel abstrato: CGSI – Responsável pela elaboração do Termo de Aprovação. Fonte: elaborado pelo autor.
Representação Gráfica dos papéis.
Figura 13. Etapa de Levantamento de Requisitos da PoSIC.
102
4.5.2 Planejamento
Ao desenvolver uma PoSIC ou um conjunto de regulamentos de segurança da informação, é necessário tratar esse assunto como um projeto com início, meio e fim. Deve-se ter seu planejamento e identificar todas suas etapas futuras, bem como seu patrocinador, criar a documentação de aprovação necessária, os treinamentos, papéis e responsabilidades, concluir o planejamento e compartilhar as lições apreendidas.
Nessa etapa, deve ser feita a descrição das necessidades para a elaboração da PoSIC, elaborar o cronograma necessário, declarar seu objetivo, justificá-la e solicitar a aprovação da Gestão Máxima da instituição. O Quadro 5 apresenta todas as práticas e ações para implantação dessa etapa.
Quadro 5. Etapa de Planejamento da PoSIC.
ETAPA: 02
PLANEJAMENTO DA PoSIC
Referência: [ABNT (2013); BRASIL (2009); FERREIRA E ARAÚJO (2009); FONTES (2011, 2012); ISACA (2012b); OGC (2007); OLIVEIRA JÚNIOR (2015); TAYLOR (2011)].
Objetivo: Estabelecer as práticas e as ações necessárias para o desenvolvimento da PoSIC, identificando as necessidades de segurança da informação para a instituição.
Indicadores de Desempenho:
Relação das práticas que serão executadas na etapa de desenvolvimento da PoSIC;
Relatório contendo os recursos críticos que apresentem vulnerabilidades e ameaças de perda de informação;
Plano de capacitação do Comitê de Segurança da Informação aprovado;
Plano orçamentário aprovado pelo setor financeiro;
Cronograma de implantação elaborado;
Termo de responsabilidade finalizado;
Termo de Aprovação assinado pelo Gestor Máximo.
Recomendações e Fontes de Consulta:
Treinamentos em segurança da informação;
Participar das reuniões do Comitê de TI;
Apropriar-se das práticas da ISO/IEC 27002:2013;
Apropriar-se do framework COBIT 5 (Guia do Cobit 5 for Information Security);
Analisar a biblioteca ITIL (Gerenciamento de Nível de Serviço – Service Design);
Visitar instituições que já desenvolveram sua PoSIC;
Analisar Decreto nº 3.505/2000.
ID PRÁTICAS
P1 - Instituir Comitê Gestor de Segurança da Informação - CGSI
Ações:
Solicitar criação do CGSI;
103
Publicar Portaria de criação do Comitê de Segurança da Informação em atendimento à etapa 01 – LR1.
Descrição:
Na ausência do Comitê Gestor de Segurança da Informação (CGSI), o Comitê de Tecnologia da Informação (TI) solicitará ao Gestor Máximo da instituição a criação desse Comitê, com o objetivo de assessorar a instituição no desenvolvimento das ações de segurança da informação, as quais contemplarão a PoSIC.
O CGSI deverá ser criado em cumprimento à PoSIC, com a missão de condensar os princípios de segurança da informação que a Gestão Máxima considera importante e fundamental para as atividades da instituição. Cabe ao CGSI a responsabilidade pela elaboração, implantação e revisão da POSIC.
Papel:
- Gestor Máximo da instituição.
P2 - Instituir Grupo de Trabalho - GT
Ação:
Instituir o Grupo de Trabalho para implantação da PoSIC na ausência do CGSI.
Nomear servidores representantes dos diferentes setores da instituição como membros do GT; Publicar Portaria de criação do Grupo de Trabalho que implantará a PoSIC.
Descrição:
O Comitê de TI poderá instituir o GT com o objetivo de gerenciar todas as etapas de implantação da PoSIC. O GT deverá ser constituído por representantes dos diferentes setores da instituição, como por exemplo: segurança patrimonial, tecnologia da informação, recursos humanos, jurídico, protocolo, biblioteca, financeiro, planejamento, etc.
A figura do Gestor de Segurança da Informação do instituto deverá presidir o GT e acompanhá-lo nas práticas de análise de risco, treinamento da equipe, elaboração do calendário de atividades e produção de toda documentação necessária.
Papel:
- Comitê de Tecnologia da Informação.
P3 - Elaborar Plano de Capacitação
Ações:
Identificar o público alvo;
Caracterizar os centros de treinamento em segurança da Informação; Estabelecer o orçamento das capacitações;
Identificar as etapas de treinamento;
Solicitar apreciação do Comitê de Segurança da Informação; Requerer apoio do Núcleo de Capacitação.
Descrição:
Esta ação tem o objetivo de criar um plano de capacitação em segurança da informação para o treinamento do CGSI ou GT que desenvolverá a PoSIC, criando e mantendo processos de incentivo e aprimoramento das competências necessárias para identificar as vulnerabilidades existentes na instituição e as ações para desenvolver um plano de segurança da informação dos ativos da instituição.
Papel:
- Gestor de Segurança da Informação.
P4 - Estabelecer Orçamento e Recursos
Ações:
Descrever os materiais de consumo para a etapa de desenvolvimento; Estimar valores para deslocamento de membros da CGSI;
104
Estabelecer valores para treinamento e divulgação da PoSIC; Solicitar apreciação do CGSI;
Requerer aprovação do setor de finanças.
Descrição:
É necessário refletir nas prioridades estabelecidas nessa etapa de planejamento, incluindo ações como: treinamento do CGSI (ou GT), reuniões periódicas, aquisição de ativos, produção de material para divulgação e conscientização, manutenção do processo de atualização, dentro outras.
É preciso o consentimento da gestão institucional, envolvendo os custos atuais de operação e possíveis alterações no processo de implantação da política. O plano de orçamento deve permitir revisão, refinação e aprovação contínua do orçamento da instituição e de todos os orçamentos de programas individuais. É interessante ressaltar que o Gestor de Segurança da Informação, juntamente com a área financeira, consiga administrar os recursos de acordo com a quantidade de esforços suficientes, visando alcançar o sucesso das ações realizadas.
Papel:
- Gestor de Segurança da Informação;
Papel abstrato: Gestor Máximo - deverá ser apresentado ao setor de finanças e aprovado pelo Gestor Máximo.
P5 - Elaborar Catálogo de Serviços
Ações:
Classificar as atividades desenvolvidas em cada setor da instituição; Identificar os ativos mais críticos da instituição (hardware e software);
Descrever as atividades em segurança da informação já executadas pelos setores; Classificar as políticas e procedimentos aplicados nos diversos setores;
Catalogar os horários de funcionamento dos setores mais críticos da instituição; Mapear os serviços e seus responsáveis diretos nos diversos setores da instituição; Desenvolver um questionário para pesquisa de campo;
Solicitar apoio dos chefes de setores para preenchimento do questionário; Catalogar os dados da pesquisa em base de consulta pelo CGSI.
Descrição:
Esta ação tem a finalidade de elaborar um documento com a relação dos possíveis serviços que deverão ser atendido pela PoSIC. Permitirá ao CGSI identificar as áreas ou setores com maior criticidade, detectados durante a análise de risco, no intuito de tornar o desenvolvimento da PoSIC menos trabalhoso e menos propenso a erros.
Um catálogo de serviço tornará transparente para a Gestão Máxima da instituição a lista de todos os serviços possíveis e disponíveis que foram, e que serão, analisados na etapa de análise de risco e que poderão ser protegidos na própria implantação da política. A alimentação desse catálogo deverá ser feita por todas as áreas da instituição, pontuando os procedimentos críticos do setor, com necessidade de serem protegidos ou incluídos na PoSIC.
De acordo com o próprio ITIL v3, a criação de um Catálogo de Serviço deve ser objeto de qualquer iniciativa de Governança de TIC, além de ser abordado como boas práticas na elaboração de qualquer procedimento de segurança da informação.
Papel:
- Comitê Gestor de Segurança da Informação - elaboração;
Papel abstrato: O catálogo será preenchido por setores, áreas ou departamentos da instituição.
P6 - Analisar Riscos
105
Criar formulário/questionário para pesquisa de campo ;
Divulgar a atividade por meio dos meios de comunicação do instituto;
Solicitar o apoio dos chefes de setores para colaboração da pesquisa de campo; Identificar os ativos que apresentem vulnerabilidades;
Elaborar relatório com os resultados da análise de risco; Solicitar da CGSI a apreciação do relatório da análise de risco.
Descrição:
O primeiro passo a ser realizado antes do desenvolvimento da PoSIC é identificar os recursos críticos da instituição, ou seja, os ativos sob risco de segurança e que apresentem vulnerabilidades e ameaças de perda de informação. Deverão ser analisados, em especial, as ameaças e os impactos de modo a determinar os elementos críticos da instituição, os custos e prejuízos associados, assim como o grau de segurança adequado.
O processo de análise poderá ser aplicado à instituição como um todo, a uma área ou departamento, a um sistema de informação, a controles já existentes ou apenas a aspectos particulares de um controle. Por exemplo: controle de senhas.
O processo de análise de risco poderá ser feito por meio de questionários e entrevistas com os servidores ou responsáveis por cada área/setor. Deverá ser descrito os componentes avaliados, que podem ser sistemas, elementos de hardware, usuários, atividades, localidades físicas, processos, etc. Deverão ser explicados os critérios e conceitos da análise. Deve ser algo breve, caso seja necessário explicar o que são riscos e demais conceitos de forma clara, podendo ser feito em forma de workshop ou apresentação. Após a realização da análise de risco, é de suma importância apresentar à Gestão Máxima da instituição o relatório desenvolvido pelo CGSI. Esse relatório deverá ser assinado pelo Gestor de Segurança da Informação e reportado os resultados ao corpo executivo (Gestão Máxima) para conhecimento e deliberação da implantação da PoSIC.
Deverá descrever os componentes avaliados, os pontos de maior criticidade, as vulnerabilidades existentes no instituto, as ameaças que apresentam riscos de maior gravidade, etc. Deverá descrever brevemente como os trabalhos foram conduzidos e realizados, por exemplo: as equipes envolvidas, as técnicas utilizadas na obtenção das informações (ex.: utilização de ferramentas, questionários, etc.), as probabilidades de ocorrência constantes de furos de segurança, o impacto financeiro e pessoal para a instituição, níveis de risco (baixo, médio e alto).
Por fim, deverão ser apresentadas as recomendações de controles de segurança para minimizar o risco e as conclusões sobre o conceito e importância da PoSIC no instituto, juntamente com o parecer do CGSI.
Papel:
- Comitê Gestor de Segurança da Informação.
P7 - Elaborar Cronograma de Implantação
Ações:
Identificar as práticas e datas para desenvolvimento de cada item da PoSIC;
Elaborar Termo de Compromisso a ser assinado por cada participante do CGSI;
Definir papéis e responsabilidades dos membros da CGSI na execução das etapas de elaboração da PoSIC; Solicitar apreciação e aprovação do cronograma elaborado ao Gestor de Segurança da Informação.
Descrição:
Deverá ser elaborado um documento contendo todo o cronograma da implantação da PoSIC, constando o período de implantação das diretrizes, normas e procedimentos, definindo os papéis e responsabilidades de todos os membros desse processo.
É sugerido elaborar um Termo de Compromisso, devendo ser assinado por cada participante do CGSI, decretando seu comprometimento com o prazo estipulado em todas as etapas da implantação.
106
Deverão ser identificadas as práticas a serem desenvolvidas a curto, médio e longo prazo, criando o relatório que será apresentado ao Gestor Máximo da instituição, como forma de adquirir seu apoio para as etapas posteriores.